Фішингова кампанія APT28 націлена на військових України

Експерти з кібербезпеки виявили нову фішингову кампанію, яку веде відома група хакерів APT28. Ця група пов’язується з ГРУ Росії та в останні роки активно займається кібершпигунством. Цього разу їх фішингова кампанія спрямована проти українських військових з метою крадіжки даних.

Коротко про APT28

Хакерська група APT28, також відома як Pawn Storm, Fancy Bear і BlueDelta існує щонайменше з 2004 року. Вони в основному зосереджуються на зборі розвідувальної інформації для російського уряду. Протягом років вони атакували різні цілі, включаючи американських політиків, організації та навіть ядерні об’єкти в США. Через високу професійність APT28 становить серйозну кіберзагрозу для своїх цілей. Останні атаки групи APT28 на військові структури України включають в себе прицільний фішинг (англ. spear phishing).

Фішингова кампанія APT28 атакує українських військових

Фішингова кампанія включає в себе розсилку електронних листів, що містять експлойти. Хакери маскують їх під розсилку військової інформації щодо ситуації в Україні. Лист містить посилання, при відкритті якого відбувається атака викрадення фрейму: користувачу пропонується увійти в систему через побічне вікно, викликане спеціальним скриптом.

APT28 проводить фішингові атаки
проти українських військовослужбовців

Облікові дані введені у таку форму одразу викрадаються хакерами. В подальшому, за допомогою доступу до цієї поштової скриньки, вони можуть отримати доступ і до інших ресурсів, які прив’язані до неї.

Втім, така тактика не є новою для APT28. Згідно з даними CERT-UA, один з використаних методів включає розсилку HTML-файлів, які імітують вебінтерфейси таких сервісів як UKR.NET та Yahoo.com, з метою крадіжки логінів та паролів через HTTP POST-запити. Ці дії включали ексфільтрацію даних через скомпрометовані пристрої.

Один із сценаріїв фішингової атаки:

  • Здійснюється розсилка фішингових листів, замасковані як повідомленнями від Команди реагування на кіберінциденти України (CERT-UA). Ці листи мали заголовок “Кібератака” та маскувалися під актуальні новини та інформацію щодо кібербезпеки. В листах містяться посилання, які ведуть на фішингові сторінки і сторінки з експлойтами.
  • Після того, як жертва відкриває таке посилання, сайт збирає інформацію про місцезнаходження та IP-адресу користувача. У випадку фішингової сторінки, користувачу пропонується ввести облікові дані до сервісу, під який така сторінка замаскована. Окрім цього, експлойти браузера могли бути використані для інфікування цільової системи.

Методи боротьби

Боротьба з такими атаками вимагає від українських військових та організацій постійної уваги до кібербезпеки, включаючи оновлення програмного забезпечення, навчання персоналу основам кібергігієни та співпрацю з міжнародними партнерами для обміну інформацією про загрози. Важливо повідомляти про підозрілі листи відповідальним службам кібербезпеки.

UAC-0099 атакують Українські підприємства використовуючи вірус Lonepage

Кібервійна України з Росією триває, оскільки угруповання UAC-0099 посилює свою кампанію кібершпигунства проти українських підприємств. Використовуючи серйозну вразливість у популярному програмному забезпеченні WinRAR, група організовує складні атаки для розгортання шкідливого програмного забезпечення Lonepage, що базується на VBS і здатне віддалено виконувати команди та викрадати дані.

UAC-0099 використовують вразливість в WinRar

У більшості останніх атак UAC-0099 зосередився на використанні вразливості WinRAR (CVE-2023-38831, оцінка CVSS: 7.8), що свідчить про складний підхід до кібератак. Ця вразливість WinRAR, широко використовуваного інструменту для стиснення файлів, дозволяє зловмисникам впроваджувати шкідливий код в системи, які нічого не підозрюють. Експлойт передбачає використання підроблених архівів, що саморозпаковуються (SFX), і спеціально створених ZIP-файлів, призначених для обходу традиційних заходів безпеки і доставки шкідливого програмного забезпечення Lonepage безпосередньо в серце цільової системи.

Вектори атаки через WinRAR:

  1. Архіви, що саморозпаковуються: Зловмисники поширюють SFX-файли, які містять шкідливі ярлики LNK, замасковані під звичайні документи DOCX. Ці файли, використовуючи знайомі іконки, такі як Microsoft WordPad, спонукають жертв до ненавмисного запуску шкідливих скриптів PowerShell, які встановлюють Lonepage.
  2. Маніпуляції з ZIP-файлами: UAC-0099 також використовує ZIP-архіви, спеціально створені для використання вразливості WinRAR. Ці файли розроблені так, щоб запускати вразливість, яка через низку недосконалостей у програмі дозволяє виконання довільного коду.
Вразливості в WinRAR які використовує Lonepage
Ланцюг вразливості в WinRAR

Хто такі UAC-0099?

Угруповання UAC-0099, вперше виявлене українською командою реагування на кіберінциденти CERT-UA у червні 2023 року, передусім націлене на українських робітників, які працюють у міжнародних компаніях. Їх тактика, хоч і не є інноваційною, виявилася ефективною для компрометації критично важливої інформації з широкого кола державних організацій та медіа-структур. Нещодавній аналіз Deep Instinct виявив тривожну тенденцію: постійний фокус групи на шпигунстві, що ставить під загрозу не лише організації, а й окремих осіб, які в них працюють.

Що таке Lonepage?

Lonepage – це бекдор, що використовується UAC-0099 у кампаніях кібершпигунства. Він призначений для прихованого проникнення в цільові системи та встановлення зв’язку з командно-контрольним сервером (C2). Після встановлення Lonepage може отримувати та виконувати подальші шкідливі інструкції з цього сервера.

Можливості Lonepage включають розгортання додаткового корисного навантаження, такого як клавіатурні шпигуни, викрадачі даних та інструменти для створення знімків екрана. Універсальність і здатність адаптуватися до різних середовищ роблять цього шкідника значною загрозою, здатною непомітно отримувати конфіденційну інформацію та здійснювати довготривале спостереження за скомпрометованими системами.

Рекомендації та пом’якшення наслідків

Оскільки зловмисники продовжують вдосконалювати свою тактику, організаціям, особливо тим, що мають зв’язки з Україною, вкрай важливо випереджати ці загрози за допомогою ефективних практик безпеки, безперервного навчання та надійного технологічного захисту. Боротьба з кіберзлочинністю триває, і обізнаність є першим кроком до захисту нашого цифрового майбутнього.

Ось кілька порад:

  • Переконайтеся, що все програмне забезпечення, особливо широко поширені програми, такі як WinRAR, мають найновіші виправлення безпеки.
  • Проводьте регулярні тренінги для співробітників, щоб навчити їх розпізнавати спроби фішингу та підозрілі додатки до електронних листів.
  • Впроваджуйте передові рішення з безпеки, включаючи брандмауери, антивірусні програми та системи виявлення вторгнень.
  • Виконуйте регулярний аналіз системи безпеки та постійно відстежуйте мережевий трафік на наявність ознак незвичайної активності.

ІТ-армія вивела з ладу майже 450 російських ресурсів за два тижні

За останні два тижні, з 15 по 28 серпня, IT-армія вивела з ладу понад 450 російських ресурсів. Про це повідомляє Укрінформ в своєму телеграм-каналі. Серед переліку пошкоджених сервісів були центральний банк, сервіс пошуку роботи та популярні сервіси переказу грошей.

В список заблокованих ресурсів також увійшли: партія “справедливая Россия – патриоты – за правду”, рітейл-компанія DNS, російські сайти у тимчасово окупованому Криму та низка пропагандистських ЗМІ.

Внаслідок кібератаки на центральний банк рф, робота з фінустановами та реєстрами була паралізована та дестабілізувала роботу інших банків росії. Проте, банку вдалося відключити обмін електронними документами та свої сервіси. Слід зазначити, що після того, як IT-армія зуміла призупинити аналоги банківських сервісів, росіяни втратил змогу оформляти міжнародні віртуальні карти і переказувати кошти.

Російський сайт по пошуку роботи SuperJob, який діяв у тимчасово захоплених територіях теж зазанав багів. Це цілком добра новина, адже завдяки цьому сервісу росіяни могли швидко відкривати вакансії для працевлаштування своїх людей. Таким чином вони хотіли повноцінно встановити свою владу.

Сайт рітейл-компанії DNS, який дозволяв росіянам безперешкодно та незаконно імпортувати іноземні товари в рф, був зламаний та виведений з ладу. Фахівці з кібербезпеки вивели з ладу РИА “Новости”, ТАСС, “Московский комсомолец” та їх деякі проекти. Ці ресурси втратили понад мільйон потенційних споживачів пропаганди.

24 серпня, IT-армія розмістила привітання з Днем Незалежності України на всіх головних сторінках російських сайтів, які зараз діють у Криму.

З 1 по 14 серпня українці фахівці по кібербезпеці заблокували близько 600 онлайн-ресурсів російської федерації, серед яких Пенсійний фонд рф, Пошта росії. Про це повідомляє Міністерство цифрової трансформації України.

Російсько-українська кібервійна

Як би це дивно не звучало, але повномасштабна агресія росії почалась задовго до 24 лютого. 15 січня було атаковано сайти міністерств та додаток “Дія”, а місяць по тому українські банки повідомили про потужні DDoS атаки. Однак і після вторгнення військ країни-терориста кіберпростір не перестав бути полем битви. Українські ентузіасти, хакери-одинаки та міжнародні угрупування на кшталт Anonymous почали невидиму війну з росією. До процесу приєдналися і міжнародні компанії, які мають вагомий вплив у Інтернеті. Фактично, це перша війна що проходить не лише на суші, у повітрі та на морі, але й у кіберпросторі. Давайте розглянемо ключові події, що мали місце на кіберфронті.

Як війна змінила інтернет-простір?

Окрім рядових користувачів, до інформаційної війни приєдналися такі впливові угрупування як Anonymous. Хакери Anonymous опублікували звернення до Володимира Путіна в якому оголосили кібервійну його агресивному режиму. Саме вони зламали сайт Міноборони РФ та оприлюднили базу даних особистими даними його співробітників.

Згодом до цієї війни приєднались такі IT гіганти як Apple, Google, Meta, Twitter та інші впливові компанії. Таким чином на Facebook були додані нові функції, що не дозволяє переглянути список друзів профілю, заборонили рекламу російських медіа та демонетизували їхні профілі.

Також YouTube відключили монетизацію для усіх російських користувачів, а також заблокував пропагандистські російські канали в Україні. Apple своєю чергою можливість використовувати карти “мир” у сервісі Apple Pay. Google відключили деякі функції Google Map в Україні, для забезпечення безпеки громадян та автоматично посилили захист облікових записів Google для українців.

Більшість онлайн сервісів, такі як VPN провайдери, підтримали Україну, надавши безплатний доступ до своїх послуг для українців. Це лише незначна частина усіх тих подій, які відбувалися у кіберпросторі упродовж повномасштабного вторгнення.

Однак дуже багато кібератак було спрямовано зі сторони Росії на українців. Зазвичай це були спам розсилки на пошти українців від імені державних структур. Хоча більшість атак спрямовано на те, щоб заволодіти конфіденційними даними українців, деякі робляться, щоб розповсюдити дезінформацію. Таким чином, 27 лютого, Meta повідомила, що зупинила хакерські атаки на Україну зі сторони Білорусі та Росії.

Російсько-українська кібервійна
Приклад повідомлення, яке отримували українці

В березні група Anonymous зламала стрімінгові сервіси Wink і IVI в Росії, після чого замість фільмів були показані кадри російських бомбардувань в Україні. Також ця група зламала базу даних Роскомнагляду та оприлюднила понад 360 тисяч файлів, а через декілька днів їм вдалося завантажити декілька ГБ закритих даних російської компанії “Росатом”. 5 березня Anonymous припинила роботу вебсайту fsb.ru

Згодом такі компанії як Rockstar Games, Activision Blizzard, Electronic Arts, CD Projekt припиняють продаж своїх продуктів на території РФ. А Ігрова студія From Software забирає у гравців з РФ вже придбані примірники гри Elden Ring.

20 березня о 21:00 було зламано офіційну групу ВКонтакте. Від її імені користувачам ВК було надіслано лист з текстом «Російська армія перетворила на руїни багато мирних міст, знищила понад 3500 об’єктів цивільної інфраструктури».

Російсько-українська кібервійна
Одне з повідомлень, надіслане від імені офіційної групи BK

Через кілька днів хакери Anonymous знов нагадують про себе зламавши сайт компанії Nestle, яка відмовилась покидати ринок РФ, а згодом все ті ж хакери ламають центральний банк Росії та обіцяють впродовж 48 годин опублікувати 35 тисяч файлів, зокрема секретні угоди.

23 березня українські хакери зламали понад 30 державних сайтів РБ, серед яких Беглісс, Держстандарт та видалили більш ніж 80 ТБ документів, а українські хакери «Кібер-Козаки» поклали сайт МЗС та податкової РБ. Наступного дня Anonymous опублікували 28 ГБ інформації після зламу центробанку РФ.

  • 28 березня Anonymous здійснили кібератаку на сервери управління цивільної авіації та знищили усі дані, а також дані резервних копій. Згодом до списку приєднались РПЦ, в яких було викрито 15 ГБ даних та приблизно 57 500 електронних листів.

  • 4 квітня Anonymous оприлюднили персональні дані 120 000 російських солдатів, які воюють в Україні, а 8 квітня Microsoft зірвала спроби російських хакерів Strontium, пов’язаних з ГРУ РФ, зламати комп’ютери в Україні, країнах ЄС та США

  • 19 квітня Anonymous повідомили про злам російського банку ПСКБ та намір “злити” 800 ГБ конфіденційних даних, а 23 квітня вони зламали 645 000 електронних листів від «Энерпред-гидравлик».

  • 11 травня Anonymous зламали RuTube, знищив до 75% баз даних інфраструктури основної версії, та до 90% резервних копій кластера до відновлення цих баз даних.

  • 30 травня по 5 червня українська ІТ-армія атакувала близько 600 російських ресурсів за тиждень, серед яких ЗМІ, інтернет-провайдери та інформаційні системи. Через ці атаки деякі регіональні ЗМІ стабільно лежали тижнями, а росіяни мали складнощі з доступом до таких державних сервісів як Міністерства праці та соц. захисту РФ, житлового будівництва куди забудовники вносять відомості по об’єкту, ресурси з нерухомості та інші.

До Дня Незалежності ймовірне посилення атак російських хакерів: Українців Попередили

У зв’язку зі святом Дня Незалежності України, 24 серпня, російські хакери можуть посилити атаки проти українців. Про це повідомляє Державна служба спеціального зв’язку. Повідомлення з таким зверненням було опубліковане в телеграм каналі і мало наступний зміст:

Незалежність та свобода України не дають спокою російським загарбникам. Саме у значні державні дати зазвичай активізується ворог. Тому ми очікуємо посилення атак з боку окупантів напередодні та в день відзначення найважливішого для українців державного свята – Дня Незалежності. І не тільки на полі бою, а й у кіберпросторі.”

Фахівці припускають, що в підвищеній зоні небезпеки знаходяться держслужбовці, працівники критичної інфраструктури, військові, та всі ті, хто можуть бути точкою доступу до інформаційних систем України.

Крім того, у Держспецзв’язку надали певні рекомендації, щодо запобігання ймовірної загрози.

Зокрема, потрібно замінити слабкі паролі на більш надійні, до всіх важливих облікових записів. За можливістю скористатися двофакторною аутентифікацією. Встановити всі оновлення програм на ПК та смартфонах. Просканувати пристої за допомогою антивірусних програм. Необхідно видалити всі російські програми, піратські програми, та ті які були дано встановленні і не несуть ніякого сенсу. На всі файли та документи слід зробити резервні копії, щоб в разі необхідності їх можна було відновити.

У державній службі також наголошують не завантажувати файли з невідомих джерел, які несуть сумнівний характер. Користувачі повинні бути пильні з повідомленнями на email, тому що, хакери частіш за все атакують через спам (розсилання небезпечних файлів).

“Пам’ятайте, що посилання на фішингові сайти можуть бути “замасковані” під привітання зі святом. Не переходьте за посиланнями, отриманими від незнайомців та навіть від друзів”, – зазначили у Держспецзв’язку.

Зловмисники можуть маскуватись під представників держорганів, тому в такому випадку потрібно бути більш обачними з адресами відправника. Не потрібно відкривати сумнівних вкладень і переходити за підозрілими посиланнями.

В Україні за липень 2022 року вже зареєстровано 203 ворожі кібератаки, про це повідомляє Укрінформ. Всі ці атаки налаштовані проти органів державного управління.